网络设计 存储安全机制

SAN安全访问控制允许授权访问拒绝非授权访问身份验证保证传输、消息、发起端的合法性数据加密数据只让合法接收方能使用防止恶意窃听存储区域网安全机制独立网络FCSAN或IPSANSAN磁带库磁盘阵列磁盘阵列LAN业务网络和存储网络分离，降低外来威胁风险业务网SAN安全基本思想－网络隔离FCSAN安全实现访问控制发现域VLANLUN映射/掩码（LUNMapping/LunMasking）传输安全IPSec/VPNACL管理安全IPSec/SNMPv3/SSH/SSL/RadiusIPSAN安全实现存储安全现状访问控制分区（Zoning）LUN映射/掩码（LUNMapping/LunMasking）传输安全未全面规划管理安全IPSec/SNMPv3/SSH/SSL/Radius通用服务FC-ATMFC链路封装FC-LESCSI–3命令集映射IPI-3命令集映射(IPI-3STD)FC-4FC-AL-2FC-3FC-0FC-1FC-2光纤物理与信号接口(FC-PH,FC-PH2,FC-PH3)物理变换编码/解码结构协议FC-AL8b/10b编码铜,光连接FC-3通用服务层是安全(如加密、认证等)的预留层FC通用服务一直没有统一规划和制定清晰的标准，这就是FC安全问题的根源！FC的安全标准尚在制定中网络接口(链路层)IP(网络层)TCP(传输层)SOCKSSSL,TLSIPSec(AH,ESP)PacketFilteringTunnelingProtocolsCHAP,PAP,MS-CHAPiSCSIiSCSI与TCP/IP的VPN协议功能技术访问控制访问控制列表（ACL）、LUN掩码（LUNMasking）、分区、VLAN管理数据安全SNMPv2/v3、SSL、SSH管理身份验证ID、密码RADIUS机密管理密码散列（hash）、证书安全配置数据安全、密钥安全实体身份验证CHAP消息验证和完整性MD5数据加密IPSecESPDES、3DES、AESIPSAN可利用成熟的安全工具主机A交换机主机BS1S3S2S4S5HOSTNAMEIPADDRNICMACiSCSIIQNHBAWWN安全保障技术对比－FCvsIPZONINGVLANVPNLUNMASKINGLUNMaskingCHAPIPSecFCSANIPSAN存储设备IPSeciSCSIHBACardiSCSI磁盘阵列FCHBACardFC磁盘阵列IPSec：数据加密标准(DES40位)、数据加密标准(DES56位)、3DES(168位)FC协议为二层协议，无加密功能主机GECard防止网络窃听SAN的访问控制－分区存储区域网络(SAN)磁带库磁盘阵列分区4分区1分区2分区3FC：ZoningiSCSI：1、发现域2、VLAN存储区域网络(SAN)FCSNS/iSNS基于名称服务的SAN分区磁带库磁盘阵列Zone4Zone1Zone2Zone3WWNWWNWWNWWNWWUIWWUIWWUIWWUIFCSAN称这类分区为“软分区”，而IPSAN采用发现域可实现FC基于名称服务的分区功能基于交换机端口的分区zone2磁带库磁盘阵列zone1zone3zone4主机交换机FCSAN称这类分区为“硬分区”IPSAN采用VLAN实现，但是VLAN功能远比FC交换机分区功能标准和强大VLAN2磁带库iSCSI磁盘阵列VLAN1VLAN3VLAN4主机交换机VLANtablePortVLANPort1VLAN1，4…………Port4VLAN2，4…………Port6VLAN3，4Port9VLAN1Port11VLAN2Port13VLAN3………………………………Port16VLAN4…………基于端口的VLAN服务器服务器HBA卡LUN0LUN1LUN2阵列1YYN阵列2YYN阵列3NNNAccessMapSANLUN0LUN1LUN2阵列1NNY阵列2NNY阵列3YYYAccessMap阵列3阵列2阵列1LUN2LUN1LUN0LUN2LUN1LUN0LUN2LUN1LUN0基于HBA的LUNMapping/Masking主机1主机3SANLUN0LUN1LUN2主机1YNN主机2NYN主机3NNYAccessMap阵列LUN2LUN1LUN0主机2基于控制器的LUNMapping/Masking